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2021 年 10 月 1 日 








(BSA | ザ ・ ソ フト ウェ ア ・ ア ライ アン ス 、 以 下 、 
上 会 形成 の 司令 塔 と し て 機能 する デジ タル 庁 (以下 、「 貴 
目線 で デジ タル 時 代 の 官民 イン フラ を 作り 上 げ よ うと す 
の 政府 と 緊密 に 連携 











し 、 市 民 サ ー 


ビス の 向上 に 頁 献 し て お り 、 デ ジタル 庁 が 今後 実施 し て いく 様々 な 取り 組み を 支援 す 


る た め 


BSA は 、 政 府 や グロ ー バ ル 市 場 





(人 工 知能 ) と 機械 学習 、 
ナ て 提供 





ビス を 世界 に 先駆 ! 
ーション の 最 
提供 
実際 に 






































] 線 に い ヨ ョ 
し て お り 、 そ の 事業 モデ ル !【 

は 、 プ ライ バシ ンー や サイ バー セキ ュ リ ティ な ど 、 
進 す る ツー ル を 数 多く 提供 し て いま す 。 


に 協力 し て いけ る こと を 期待 し て いま す 。 














に お いて 、 














、 世 界 経済 の 成長 と 


日 




















ょ 顧客 デー タ を 収益 化す る こと 





日 本 に お いて は 、 こ れ 











ズ ・ ソ フト ウェ ア 企 業 は 、 中 小 企業 や 大 企業 、 中 央 政府 や 地方 


大 学 、 非 営利 
ズー メス 


団体 な ど 、 











さま ざま な 組織 を 支え 、 政 府 が 進 


ショ ン の 取り 組み に 寄与 し て いま す 。 





世界 の ツ ソフ トウ ェ ア 産 業 を 代表 する 主唱 者 
で す 。 BSA の 会 員 は クジラ ウド コン ピュ ー デ ティ ング 、 セ キュ リティ ソリ ュー 
a 
復 を 促進 する デー タ 駆動 型 イ ノ ベ 
E す 。 の 
に 依存 し て いま せん 。 
顧客 の コン プラ イア ンス を 促 

















ジョ ン 、AI 











ら の エン ター プラ イ 
自治 体 、 病 院 、 学 校 、 





め て いる デジ タル トラ ンス 


+ BSA の 活動 に は 、Adobe, Altium, Amazon Web Services, Atlassian, Autodesk, Aveva, Bentley Systems, Box, Cisco, 
CNC/Mastercam, Dassault, DocuSign, IBM, Informatica, Intel, MathWorks, Microsoft, Nikon, Okta, Oracle, PTC, Rockwell, 
Salesforce, ServiceNow, Siemens Industry Software Inc., Splunk, Synopsys, Trend Micro, Trimble Solutions Corporation, Twilio, 


全曲 全開 


Workday, Zendesk, Zoom が 会 員 企 娠 
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と し て 参加 し て いま す 。 詳 








Japan Representative Office 


し く は ウェ ブサ イト (http://bsa.or.jp) を ご 覧 くだ さい 。 








i に 向け た 重点 計画 」* に 








お いで 








貴 庁 


貴 庁 が 市 民 サ ービス 向上 の た 





に 省庁 間 で の デー タ 活 用 促進 を 重視 する 政策 を 公表 し た こと を 我々 は 歓迎 し ます 。 


i 
医療 ・ 教 育 ・ 
を 確保 する 取り 組み 
ます 。 こ の よう な 重点 計画 
ee 
恵 を 公共 

















考え て お り ま す 。 


上 記 の 目標 を 達成 する に は 、 





eid ee 





防災 分 野 で デー タ 連 携 を 促進 


機関 が 受け られ る よう 、 











治 体 の 情報 シス テム 及び ウェ ブサ イト の 刷新 に 統一 性 を も た らし 、 
し 、 認 証 制 度 の 整備 に より デー タ の 信頼 性 
the 我々 は これ ら の 目標 を 全面 的 に 支持 し 
こよ っ て 、 よ り 強 朝 な 社会 造り が 可能 
に 、 グ ロー バル 市 場 で 利用 可能 な 
貴 庁 と の 連携 に つい て 引き 続き 模索 し て いき た いと 



































と な り ま す 。 我 々 は 
最 先端 の 技術 の 央 

















人 MM 


の 優先 事項 に 貢献 し た いと 考え て お り ま す 。 


提 


ml 


デジ タル 社会 に お ける クラ ウド コン ピュ ー テ ィング 普及 を 成功 させ る た め に 、 











は 貴 庁 











「 政 府 


情報 シス テム の た め の セ キュ リティ 評価 制度 (ISMAP) 」 の 継続 的 改善 を 求め ます 。 


BSA は 、 貴 庁 が 「 ク ラウ ド ・ 
する こと に 注力 し 、 




















バイ ・ デ フォ ルト 」 原 則 を 公共 分 野 に お 
共通 的 な 基盤 ・ 機 能 を を 提供 




















(IaaS、PaaS、SaaS) の 利用 環境 で ある 「 ガ バ メ ント クラ 
を 進め て いる こと を 歓迎 し ます 。 また 、 
「 政 府 情報 シス テム の た め の セ キュ リティ 語 
の さら な る 改善 が 検討 され て いる こと を 高く 評価 し ま 





























いて 確実 に 実践 


する 複数 の クラ ウド ・ サ ービス 





ウド 」 の 構築 に 向け た 議論 

















この 取り 組み を 実現 する た め の 土 台 と な る 
『 価 制度 (ISMAP) 」 


(以下 、「ISMAP」) 


す 。 現 行 の 制度 は 、ISMAP クラ 


ウド サー ビス リス ト へ の 登録 を 希望 する クラ ウド サー ビス プロ バイ ダー (CSP) ! 
多大 な コン プラ イア ンス 負荷 と 法 外 な 費用 を 課 し ます 。 ク ラウ ド 普 及 を 促進 講和 
に 、 貴 庁 が 関連 省庁 や 影響 を 受け る 産業 界 の ステ ー ク ホル ダー と 連携 し 、 以 下 の 点 を 


























考慮 に 入れ 、ISMAP を 継続 的 


es クラ ウド サー ビス の 責任 共 
ド 導 入 を 成功 させ る に は 、 ク ラウ ド 利 用 者 や 調達 者 が 、 
デ プ リ ケー ショ ン を 開発 し 、 必 要 【 





こ 改善 する こと を 奨め 




















有 モ デル “を 強調 








E す 。 


し 、 周 知 徹底 させ る こと 。 ク ラウ 


クラ ウド 環境 で 安全 な 








* http://www.kantei.go.jp/jp/singiit2/kettei/pdf/20210615/siryou6.pdf 








に 応じ て CSP が 提供 する ツー ル や 対策 を 自ら 














3 https://cloudsecurityalliance.org/blog/2020/08/26/shared-responsibility-model-explained/ 
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の 責任 で 利用 し 、 セ キュ リティ ・ リ スク を 最小 限 【 








る 、 と いう こと を 再 


と 維持 に 


認識 され る よう ( 


いて 、 可視 

















BE 解す る こと が 重要 で す 。 
盛り 込む こと で 、 ク ラウ ドサ ービス の リス ク 管 理 を する た め の 管 
お いて 、CSP と 顧客 と の 間 と の クラ ウド 運 
ら 近 り ま す 。 また 、 





ISMAP 【 





こ 抑 える こと が 求め られ て い 
こ 責任 共有 の 原則 を 明確 に 
中 基準 の 設定 









































用 に 関し て の 異な る 責任 が 












































a ョ a ら が 管理 





し 、 
































生 の 無い 環境 以外 に 
確 に する こと が で きま 


ます 。 これ に より 、 アク セス 権 





お いて 、 ど の 当事者 が 


責任 を 負う 環境 の 側面 に お 
説明 責任 を 負う の か を 明 


を 持た な い 顧 客 デ ー タ や シ 
































ステ ム に 対し て 、 セ キュ リティ 要件 や 義務 を CSP に 課す と いう こと が 回 避 さ 


れ 、 不 適切 な 


義務 


を 


課せ られ た 場合 





a 
ー ュ 


に 逆 効果 と な る 事態 を 避け る こと が で きま す 。 


し 、 


必須 の セキ ュ リ ティ 管理 を 定義 する こと に より 、 


結果 的 に セキ ュ リ ティ や プラ イバシー 


様々 な クラ ウド サー ビス の モデ ル (SaaS、IasS、PaaS) の 特徴 的 な 要件 を 考慮 
これ ら の サー ビス に 最も 関連 する リス ク を 管 下 














E す る た め に 最適 化 さ れ た 














実施 し や すく する こと 。 


既に 








取得 済み の 
な 監査 手順 を 削減 する こと 。 
(ISMS-JISQ/ISO0 27000 シリ ー ズ ) 
認め 、 反 復 的 な 手続 き 、 及 び 、 
いう ISMAP の 要求 











国際 規格 と 重複 する 管理 基準 の 敵 





現行 の ISMAP を より 柔軟 に 

















用 を 免除 する こと で 、 反 復 的 




















これ に より 、 


多く の CSP は すでに 国際 的 に 認知 され た 規格 

の 認証 を 取得 し て いる こと か ら 、 そ れ ら を 
過去 の 認証 手続 き で 提供 され た 証跡 の 
『 項 を 排除 する こと で 、 So 全て の ステ ー ク 
ホル ダー の 負担 を 軽減 する が で きま す 。 ま た 、 











時 利用 と 














ら に 多く の 日 本 


企業 が ISMS/ISO 認証 を 取得 する こと を 促進 し 、 積 極 的 に 


EE 


また 、 国 




















際 的 に 認知 され た 第 三 者 機関 に 
関連 する 管理 基準 お よび 要件 に 準拠 人 0 ‘る 




















実用 
権 

















と する こと 。 
材 需要 の 集 「 

















的 で 反復 的 な 現地 
を 持た な い 者 に よ 
必要 な 物理 的 セキ ュ リ ティ リス ク に さら すこ と に 





ISMAP に 登録 する 監査 法人 の 数 を } 





る 訟 認証 お よ び 監 査 結 
証拠 と じじ て nm 


国際 的 な ビジ ネス ・ チ ャ ンス の 拡大 に も つなが り ま す 。 





果 を 、ISMAP の 
褒め る こと に より 、 非 



































監査 の 必要 性 が 減り ます 。 















































こも 、 





す 方 法 を 検討 する こ CT 














争 が 実現 


に する た め 


され 、CSP は 現行 の 4 つの 登録 
i 0 と が で きま す 。 
こ は 、 ク ラウ ドサ ービス の IT 








認 





監査 ・ 


る 現場 へ の アク セス を 要する た め 
な り ま す 。 


肖 や すこ と で 、CSP に 
ls 
と 不足 を 避け る た め 


現地 監査 は 、 本 目的 以外 で は 





ー タ セン ター を 不 


よる 柔軟 な 選択 を 可 
現在 また 今 


能 
後 の 人 


3 
ー ュ 











Co 























、 監 査 法 人 間 の 公正 な 競 














A する こと を 強い られ 
また 。、 


ISMAP を 持続 可能 な 制度 
8 証 要 員 を 育成 する た め の 手 











Ce と が 重要 で す 。 
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。 国際 的 な クラ ウド ・ セ キュ リティ の ベス ト ・ プ ラク ティ ス に 沿っ た 、 顔 度 を 減 

らし た 監査 スケ ジュ ー ル ( 例 : 三 年 に 一 度 ) を 設定 し 、CSP と 政府 双方 の 監 
査 作 業 を 削減 する こと 。 毎年 の 監査 で は 、CSP は 事実 上 、 連 続 し て 監査 プロ セ 
ス を 実施 し な く て は な ら ず 、 常 時 、 監 査 対応 に 追わ れる こと と な り 、 セ キュ リ 
ティ 担当 者 の 注意 を 不 必要 に そら すこ と と な り ま す 。 調達 省庁 側 に と っ て も 、 
年 度 の 契約 更新 の 負荷 が 増す こと と な り ま す 。 




















































































































e 申請 ・ 釜 録 の 受付 を 、 四 半期 ご と で は な く 、 年間 を 通し て 行う こと が で きる よ 
うに する こと 。 年 に 4 回 の 申請 ・ 登 録 に 限定 され る と 、TISMAP 登録 を 目指 す 
CSP に と っ て は 、3 ヶ月 以上 の 遅れ が 生じ る 可能 性 が あり ます 。 年 間 を 通し て 
継続 的 に 申請 ・ 登 録 を 行う こと で 、ISMAP は 急速 に 進化 する クラ ウド の 技術 に 
対応 する こと が 可能 と な り ま す 。 




































































最新 技術 を 反映 し た 、 最 も 効果 的 な セキ ュ リ ティ ・ ア プロ ー チ の 採用 を 推進 する こと 
を 求め ます 。 








今後 、 地 方 自治 体 の 基幹 シス テム を 含め た シス テム の 統一 ・ 標 準 化 を 貴 庁 が 進め 、 ガ 
バ メ ント クラ ウド 上 に 構築 し て いく と 我々 は 理解 し て お り ま す 。 自治 体 が 保有 すす る デ 
ー タ の 有効 活用 が 期待 され る 本 取り 組み の 進展 に 我々 は 期待 を 寄せ て いま す 。 上 自治体 
が 革新 的 な クラ ウド 技術 や サー ビス を 利用 し て 、 想 定 通 り の デー タ 活 用 を 実現 する た 
め に は 、 貴 庁 が 総務 省 と 協力 し 、 現 行 の 「 地 方 公共 団体 に お ける 情報 セキ ュ リ ティ ポ 
リ シ ー に 関す る ガイ ドラ イン 」* (以下 、「 ガ イド ライ ン 」) を 見 直し 、 更 新 す る こ 
と を 強く 要望 し ます 。 本 ガイ ドラ イン で は 、 物 理 的 な ネッ トワ ー ク 分 離 を 推奨 する 三 
層 の 対策 に よる セキ ュ リ ティ 施策 が 引き 続き 盛り 込ま れ て いま す 。 市 民 の プラ イ バ シ 
ー と 個人 情報 を 保護 する と いう 目的 を 我々 は 全面 的 に 支持 し ます が 、 こ の よう な 時 代 
こそ ぐ わ な い 方 針 を 維持 する こと は 、 公 的 機関 に よる クラ ウド コン ピュ ー テ ィング ・ 
ソリ ュー ショ ン の 採用 を 妨げ る も の で あり 、 デ ー タ の リス ク に 相応 し て いま せん 。 実 
際 、 総 務 省 が 最近 、 意 見 募集 に か けた 「 ク ラウ ドサ ービス 提供 に お ける 情報 セキ ュ リ 
ティ 対策 ガイ ドラ イン 」 の 第 3 版 で は 、 絶 え ず 進化 する クラ ウド 技術 環境 と 複雑 化す 
る デジ タル プラ ッ ト フ ォ ー ム の 状況 を 見 越し 、 マル チク ラウ ドイ ン フ プラ と 責任 共有 そ モ 
デル を 考慮 し て いま す 。 こ の こと か ら も 、 最 新 の 技術 的 進歩 を 反映 し た 政策 を デジ タ 
ル 庁 に て 調整 頂く こと を 求め ます 。 







































































レン 
































































































































多く の クラ ウド サー ビス は 、 暗 号 化 や 厳格 な アク セス 管理 シス テム な ど 、 国 際 的 に 認 
め ら れ た 機能 を 実装 する こと で 、 村人 - タ セキ ュ リ ティ を 実現 し て いま す 。 
BSA 会 員 を 含む 、 多 く の グ ロー バル な CSP は 、 デ ー タ セキ ュ リ ティ へ の 大 規模 な 投資 
を し て お り 、 利 用 可能 な 機密 個人 情報 の た め に 、 最 も 効果 的 な デー タ セ キュ リティ を 
提供 し て いま す 。 これ ら の 最高 水準 の 安全 な ソリ ュー ショ ン の 使用 を 可能 に する こと 





















































4 https://www.soumu.go.jp/main_content/000726079.pdf 
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を 、 デ ジタル 庁 が 政策 に より 確か な も の と する こと が 不可 欠 で ある と 、 我 々 は 考え ま 
す 。 


この よう な 最高 水準 の デー タ セ キュ リティ ・ ソ リュ ーション は 、 リ スク ベー ス で 成果 
重視 の 手法 を 採用 し て いま す 。 "採用 され て いる の は 、 ゼ ロト ラス ト ・ セ キュ リ テ 

イィ ・ ア ー キ テク チャ “、 高 度 な ユー ザーTD 管理 や アク セス 制限 シス テム 、 常 時 接続 の 
仮想 プラ イベ ー ト ・ ネ ットワーク 定 仮想 ネッ トワ ー ク ・ セ グ メ シン デー ショ ン な どの ギ ネ 
ットワーク 制御 、 強 力 な デー タ 暗 号 化 な どの セキ ュ リ ティ 対策 で す 。 デ ジタル 庁 は 総 
務 省 と 連携 し 、 時 代 に そぐわ な い 物 理 的 な か ネット ワー ク 分 離 要 件 や デー EY 
ゼー ショ ン 要 件 を 撤廃 し 、 代 わり に 現在 の 技術 に 合わ せ た セ キュ リティ ・ ソ リュ ー 

ョ ン を 採用 し 、 成 果 重 視 の リス ク 管 理 制御 に 焦点 を 当て 、「 多 層 防 御 」 “の 原則 に a 
づい た ベス ト プ ラ クティ ス を 採用 し 、 安 全 OE 
の 調達 と 使用 に より 、 政 府 業務 を より 効果 的 に 推進 させ る べき で す 。 こ れ に より 、 日 
本 の ガバ メン トク ラウ ド の 柔軟 で 堅 年 な 基盤 を 構築 する ね こと が で きま す 。 こ の よう な 
重要 な 実践 を 採用 し た 政府 は 『、 ク ラウ ドコ ン ピ ビュー ティ ング を 最も 効果 的 に 活用 し 
な が ら 、 強 力 な サイ バー 償 威 に 対し て も 、 よ り 効 果 的 に 対処 する こと に 成功 し て いま 
すら 

































































































































































サイ バー セキ ュ リ ティ の ソリ ュー ショ ン は 、 官 民 が 連携 し 、 市 場 主導 型 の ツリ ュー シ 
ョ ン を 採用 する と き に 最も 効果 を 発揮 し ます 。 "日 本 の デジ タル トラ ンス フォ ー メ ー 
ショ ン と セキ ュ リ ティ 政策 が 、 セ キュ リティ 対策 の 最新 の 進歩 の 恩恵 を 受け られ る よ 
うに 、BSA と BSA 会 員 企業 は デジ タル 庁 と 連携 で きる こと を 願っ て いま す 。 









































公共 部 門 に お ける デジ タル スキ ル 向 上 の た め の 官 民 連 携 


デジ タル 上 庁 が 、 官 民 の デジ タル 人 材 育成 の 強化 に 重点 を 置い て いる こと を 我々 は 高く 
評価 し て いま す 。 現 在 の テク ノロ ジー の 可能 性 を 十分 に 活用 する た め に 、BSA 会 員 が 
提供 する 様々 な トレ ー ニ ング の 機会 『 を デジ タル 庁 が 活用 する こと を 推奨 し ます 。 こ 









































3 BSA International Cybersecurity Policy Framework 
https://bsacybersecurity.bsa.org/report-item/bsa-international-cybersecurity-policy-framework/ 


8 Zero Trust Architecture, NIST SP-800-207 
https://www.nist.gov/publications/zero-trust-architecture 








7 NIST で は 「 多 層 防 御 (Defense-in-Depth) 」 は 「 人 、 技 術 、 お よび 業務 遂行 能力 を 統合 し て 、 組 織 内 の 階層 お よ び ミ 
ッ シ ョ ン ご と に 複数 の 調節 可能 な 防 敬 を 築く 情報 セキ ュ リ テ ィ 戦 略 」 と 定義 され て いま す 。 
https://www.ipa.go.jp/files/000056415.pdf 

https://csrc.nist.goV/glossary/term/defense_in_depth 

















# 米国 : https://cloud.cio.gov/strategy/ 
英国 : https://www.goV.uk/guidance/creating-and-implementing-a-cloud-hosting-strategy 














3 https://bsacybersecurity.bsa.org/report-item/bsa-international-cybersecurity-policy-framework/ 


1 https://bsa.or.jp/policy/digitalskill/ 
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れ ら は 、 公 共 部 門 の 人 材 の デジ タル スキ ル を 向上 させ 、 政 府内 で の デー タダ 分析 能 








で す 。 











構築 する た め の 取 り 組 み 、 ま た 、 民 間 部 門 で の 同様 の 取り 組み の 促進 MM 


また 、 デ ジタル トラ ンス フォ ー メ ーション の 方 針 や 戦略 を 策定 、 改 良 、 実 施す る 上 で 
の 定期 的 な 議論 に 、IT 業界 の ステ ー ク ホル ダー が 積極 的 に 参加 で きる 正式 な 手続 き や 
制度 を デジ タル 庁 が 確立 する こと を 奨励 し ます 。 デ ジタル 庁 が デジ タル トラ ンス フォ 
ー メ ーション の 実現 に 成功 する に は 、 オ オープン で 透明 性 の 高い プロ セス を 実現 する こ 
と が 鍵 と な り ま す 。 ま た 、 民 間 企 業 と の 連携 的 な 場 を 設け る こと で 、 デ ジタル 庁 は 






























































産業 界 の 担当 者 か ら 最 新 の 専門 知識 や ベス ト プ ラ クティ ス を 得る こと が で き 3 





結論 








日 本 の デジ タル トラ ンス フォ ー メ ーション を 推進 する た め に 、 ま た 、 民 間 企 業 が 提供 











El 














する サー ビス へ の 政府 投資 の 価値 を 生み 出す た め に 、BSA と BSA 会 員 企業 が どの よう 
に デジ タル 庁 と 連携 し て いけ る か 、 幅 広い 議論 が で きる 機会 を 期待 し て いま す 。 




















https://transformyourtrade.org/training-opportunities/ 
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